Авторитетность издания
Добавить в закладки
Следующий номер на сайте
Некоторые аспекты проблемы синтеза систем защиты информации от несанкционированного доступа
Аннотация:
Abstract:
Авторы: Карпов В.В. (karpov@cps.tver.ru) - НИИ «Центрпрограммсистем» (первый зам. генерального директора), Тверь, Россия, кандидат технических наук | |
Ключевое слово: |
|
Ключевое слово: |
|
Количество просмотров: 12522 |
Версия для печати Выпуск в формате PDF (1.18Мб) |
Интенсивная компьютеризация и проникновение информационных технологий в области человеческой деятельности, где безопасность информации имеет особо важное значение, привели к значительному росту интереса к проблеме создания систем защиты информации (СЗИ). В публикациях на указанную тему обосновываются требования к защищенным информационным системам по обеспечению следующих свойств информации и систем ее обработки [1,2]: - конфиденциальность как характеристика информации, определяющая необходимость введения ограничений на перечень субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней; - целостность информации, то есть существование информации в неизменном по отношению к некоторому фиксированному ее состоянию виде; - доступность информации как способность системы обеспечивать своевременный беспрепятственный доступ субъектов к запрошенной информации. Целью настоящей статьи является рассмотрение ряда задач, возникающих при создании систем защиты информации от несанкционированного доступа (НСД). Наличие СЗИ от НСД в информационной системе является необходимым условием обеспечения конфиденциальности информа- ции [3]. Каждый раз при разработке системы защиты по сути решается задача оптимального синтеза СЗИ для заданного множества угроз с учетом характеристик защищаемой системы и дополнительных требований, указанных в техническом задании [2]: , где P=(P1, …,PQ) – вектор параметров задач защиты информации, решение которых является функцией СЗИ с областью определения P; S=(S1, …,ST) – вектор параметров структуры СЗИ, определенный на множестве возможных структур S; C=(C1, …,CD) – вектор параметров управления процессами защиты информации с областью определения C; Y=(Y1, …,YN) – вектор характеристик СЗИ, составляющие которого суть функции параметров P, S и C; E=Y(Y) – функция, определяющая значение показателя эффективности как интегральной характеристики качества СЗИ; I = a, …, w – индексы, выделяющие характеристики, которые должны принадлежать заданным областям ; – оптимальный технический облик СЗИ на множестве технических решений T(Qj); Таким образом, требуется определить такие параметры структуры S и параметры управления C, которым соответствует максимум показателя E=W(P,S,C) при выполнении требований на характеристики СЗИ. Как правило, основными требованиями к СЗИ, предъявляемыми в техническом задании (ТЗ), являются: - уровень защищенности; - требования к производительности; - ограничения по стоимости. Уровень защищенности определяется обычно перечислением функциональных требований к СЗИ в соответствии с планируемым классом защищенности по руководящим документам Гостехкомиссии России. В ряде работ подобный подход признается устаревшим и предлагается ввести обобщенные расчетные показатели защищенности, как правило, вероятностного типа. Требования к производительности устанавливаются, в основном, к базовой информационной системе, которую защищает СЗИ. Относительно СЗИ оговаривается, что она не должна ухудшать динамические характеристики базовой системы сверх заданного уровня. В этом месте возникает проблема распределения производительности. В самом деле, если требования заданы для всей информационной системы, включающей несколько подсистем, в том числе и СЗИ, то необходимо уметь распределить общую производительность между подсистемами, чтобы предъявить частные требования к СЗИ непосредственно. Требования по стоимости предъявляются чаще непосредственно к системе защиты и могут определять конкретную сумму, которая может быть потрачена на создание СЗИ, либо требуется минимизация затрат при условии достижения заданного класса защищенности. Рассмотрим последовательность синтеза СЗИ исходя из того, что уровень защищенности задан обобщенным показателем, определяющим вероятность обеспечения защиты Рзащ, требования к производительности определены для информационной системы в целом, а стоимость разработки СЗИ ограничена конкретным значением S0. Представим СЗИ в виде сетевой модели, состоящей из ядра N и сервисов защиты Si (см. рис.). На вход сервисов поступают потоки запросов на доступ, формируемые программами информационной системы. Каждый из сервисов отвечает за защиту от угрозы определенного типа. Его задача состоит в том, чтобы распознать угрозу и заблокировать несанкционированный запрос. Действие системы защиты состоит в том, что исходный поток запросов разрежается, образуя выходной поток. Обозначим входные потоки несанкционированных запросов Vi(t), i=1, …, n, а потоки нераспознанных (пропущенных) системой защиты несанкционированных запросов Vi'(t). Учтем факт неполного закрытия системой защиты всех возможных каналов проявления угроз отсутствием для m входных потоков сервисов СЗИ, что означает Vi'(t) = Vi(t). Потоки запросов на несанкционированный доступ, поступающие по i-м каналам разрежаются с вероятностями pi(y) , которые зависят от используемого способа обнаружения НСД. На выходе СЗИ образуется выходной поток, являющийся объединением выходных потоков i-х сервисов и потока НСД-запросов, приходящих по m неконтролируемым каналам. Пусть заданы функции распределения моментов появления НСД-запросов для каждого из сервисов: Fi(t), а также вероятности обнаружения НСД: pi(y). При этом вероятности пропуска НСД равны: qi(y)=1 – pi(y). Определим показатель защищенности от НСД как вероятность отсутствия пропущенных НСД-запросов на выходе системы защиты: Z(t)=P{tнсд>t}=1 – , где = P{ti+1 – ti = tнсд £ t} является функцией распределения случайной величины tнсд, которая представляет собой время между двумя соседними пропусками НСД-запросов ti +1 и ti. Определим случайную величину Yt как длину интервала времени от момента t до будущего момента пропуска НСД. Обозначим через Фi(t) функцию распределения Yt i-го потока. Плотность распределения функции Фi(t) связана с функцией распределения следующей зависимостью Ф'i(t)=, где – функция распределения времени между последовательно поступившими НСД-запросами на выходе i-го сервиса; Ti – среднее время между пропусками НСД i-м сервисом. Учитывая определение для показателя защищенности, можно записать: Ф'i(t)=, откуда: Фi(t)=. Обозначим через j(s) преобразование Лапласа плотности функции распределения F(t), то есть положим j(s)= . Для разреженного потока соответствующее преобразование Лапласа согласно [4] имеет вид . Если потоки НСД-запросов на выходе сервисов являются рекуррентными и независимыми, то плотность объединяемых потоков НСД на выходе СЗИ будет равна . Таким образом, если функция распределения Fi(t) имеет преобразование Лапласа, то, используя формулы для расчета плотности разреженного потока, можно получить выражение для i(t), затем найти Fi(t) и определить Få(t). Далее находится показатель защищенности Zå(t), исходя из зависимости, связывающей его с Få(t). Рассмотрим решение задачи выбора структуры и компонент СЗИ по критерию защищенности при наличии ограничений в виде дополнительных затрат на разработку средств защиты. Общий показатель защищенности является функцией от защищенности всех компонент информационной системы: R(t,Y)=R(t, y1, y2, …, yn). Поскольку сервисы СЗИ в смысле обеспечения защиты объединены последовательно, то можно записать: R(t,Y)= Очевидно, что задача выбора оптимальной системы защиты возникает при наличии ограничений на затрачиваемые на повышение защищенности средства. Как правило, затрачиваемые средства возрастают с увеличением количества контролируемых угроз и с улучшением характеристик защищенности. Задача выбора оптимальной системы защиты по степени защищенности при наличии одного ограничения может быть сформулирована следующим образом. 1. Найти вектор состава системы S0 такой, что Стоимость (S0) = , где S – множество всех возможных (допустимых) решений, то есть R(t,S0)> 2. Найти вектор S0 такой, чтобы R(t,S0) = , где Y – множество допустимых решений, то есть Стоимость (S) £ . В простейшем случае задача синтеза СЗИ может быть решена методом перебора вариантов. В более сложных случаях необходимо использовать методы динамического программирования, теорию графов и т.п. Первый этап состоит в определении возможно более полного перечня угроз и в разбиении информационной системы на компоненты, на которые угрозы преимущественно воздействуют. Далее для полученной декомпозиции структуры защищаемой системы и параметров ее блоков оцениваются интенсивности потоков НСД, с использованием которых вычисляются характеристики защищенности – интенсивности пропущенных НСД-заявок. Затем подсчитываются дополнительные затраты на реализацию yi-го метода защиты от i-й угрозы и строится направленный конечный граф. После построения графа задача оптимального синтеза СЗИ сводится к нахождению кратчайшего допустимого пути в графе. Список литературы 1. Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. – М.: Компания «Единая Европа», 1994. 2. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. – М.: Радио и связь, 2000. 3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. – М.: Военное изд-во, 1992. 4. Беляев Ю.К. Предельные теоремы для редеющих потоков. – Теория вероятностей и ее приложения, - М.: Знание, 1968. |
Постоянный адрес статьи: http://swsys.ru/index.php?page=article&id=844 |
Версия для печати Выпуск в формате PDF (1.18Мб) |
Статья опубликована в выпуске журнала № 3 за 2001 год. |
Возможно, Вас заинтересуют следующие статьи схожих тематик:
- Компьютер - хранитель домашнего очага
- Программные средства автоматизации приборостроительного производства изделий радиоэлектронной аппаратуры
- Система поддержки принятия решений по планированию профессиональной структуры подготовки специалистов
- Основные характеристики методики АДЕСА-2 для разработки информационных систем и возможности ее практического применения
- Реализация теней с помощью библиотеки OpenGL
Назад, к списку статей